Aplicativo só precisava estar aberto para que qualquer outra pessoa na mesma rede sem fio pudesse forçar a abertura de sites. Problema já foi corrigido pela Mozilla.

A Mozilla corrigiu uma vulnerabilidade que deixava o navegador Firefox ser manipulado por outras pessoas que estivessem na mesma rede de internet sem fio (Wi-Fi). Na prática, a falha podia ser usada para obrigar o navegador a exibir sites, dando a impressão de que o smartphone estava sendo controlado por outra pessoa.

O problema foi descoberto pelo especialista em segurança Chris Moberly. Ele publicou um vídeo no Twitter demonstrando a falha em ação: quando um comando é executado em um computador para transmitir uma mensagem na rede, o celular abre sozinho um site no navegador Firefox.

Para estar vulnerável a esse ataque, bastavam duas condições: ter uma conexão ativa a uma rede Wi-Fi e estar com o navegador Firefox para Android aberto no smartphone.

Moberly descobriu que o Firefox lidava incorretamente com o protocolo simples para descoberta de serviços (SSDP, na sigla em inglês), uma tecnologia na qual dispositivos anunciam sua presença para outros em uma rede. A comunicação ocorre por meio de mensagens transmitidas a todos os dispositivos conectados à rede.

Não há interação direta com o SSDP, mas ele produz efeitos que facilitam o uso de dispositivos. Ele pode ser usado, por exemplo, para que um smartphone ou computador saiba que está conectado na mesma rede de um aparelho de televisão compatível com streaming (“casting”) de conteúdo, o que permite continuar a reprodução de um vídeo ou música no televisor.

No entanto, a interpretação do Firefox dessas mensagens acabava levando o navegador a abrir qualquer site indicado por outra pessoa na rede, sem que houvesse autorização para isso.

Embora uma pessoa mal-intencionada pudesse obrigar o navegador a exibir um site, esta falha por si só não era capaz de acessar dados ou comprometer o aparelho celular com um programa espião. Como o problema foi identificado por um especialista e comunicado diretamente à Mozilla, não há qualquer registro de que a falha tenha sido usada em ataques reais.

A vulnerabilidade está corrigida desde a versão 79 do Firefox. Dessa maneira, basta atualizar o navegador no Android para ficar imune a esse ataque específico. A versão atual do navegador é a 80.1.3.

As versões do Firefox para outros sistemas – como Windows, Linux e macOS – não estavam vulneráveis.

Fonte: G1

Imagem: Rawpixel.com – Freepik.com